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:10 级 地 震 将 在 一 分 钟 内 发 生 


EX 


weelight.li(9 gmail.com 


360 ASAA 


演讲 内 容 


01 关于 公共 预警 系统 与 LTE 网 络 
02 LTE 协 议 中 的 漏洞 
03 触发 漏洞 


a，、 搭 建 一 个 伪 基 站 
b. 伪造 虚假 的 预警 消息 


04 结论 


公共 预警 系统 与 LTE 网 络 
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ÁN EMERGENCY ALERTS 


Emergency Alert 
BALLISTIC MISSILE THREAT INBOUND TO 
HAWAII. SEEK IMMEDIATE SHELTER. THIS 
IS NOT A DRILL. 


Settings 


新 间 
。 2018 年 1 月 的 夏威夷 导弹 警报 


/N EMERGENCY ALERTS 23m ago 


Emergency Alert 


BALLISTIC MISSILE THREAT INBOUND TO 


HAWAII. SEEK IMMEDIATE SHELTER. THIS IS 
NOT A DRILL. 


LTE 协 议 中 的 漏洞 


LTE 协 议 中 的 漏洞 
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|. 目前 的 标准 中 并 未 加 入 对 警报 信息 的 签名 等 验证 信息 . 
2 手机 在 进行 小 区 重 选 的 时 候 ， 如 果 没有 甬 改 位 置 区 更 新 流程 (TAU) ， u 


手机 是 不 会 对 基站 的 合法 性 进行 杜 别 


触发 漏洞 


如 何 挫 建 一 个 LTE 伪 基站 


硬件 
USRP B210 
ThinkPad 


软件 
srsLTE /srsENB 


EZRES 


基站 一 样 工作 


获取 当前 合法 基站 的 配置 参数 


Band: 3 


GCI: OE4D010B 
MEE 

TAC: 4154 
LTE: -88.0 dBm 


Tower: N/A 


Network: 39.98158800, 116 
GPS: 39.99 5, 116.4€ 


GSM: -53.0 dBm 


8404400 ma > 


# Satellites: 0 (Accuracy: +16 


Location 


DL EARFCN: 1650 
UL EARFCN: 19650 
DL Freq: 1850.0 MHz 
UL Freq: 1755.0 MHz 


3780+ т 
(Estimate) 


EARFCN (LTE band 3) 


Type RSRP RSRQ PCI 
LTE -88 -10 438 
LTE -104 -20 250 
Type RSSI PSC 
W-CDMA -53 462 
W-CDMA -63 333 


用 于 发 现 LTE 网 络 的 应 用 软件 


在 srsENB 平 台 上 进行 配置 


HHHHHHHHHH HH FH HH HH HH HH HH HH HH HH HH HH HH 


HEHEHEHEHE HEHEHEHEHE HEHEHEHEHE HH H HH HH HH HH HH HH HH HH 
HHHHHHHHHHHHHHHHHHHHHHHHHHHBHHHHHHBH 


E = 127.0.1.100 
gtp_bind_addr = 127.0.0.1 
n_prb = 50 
#tm = 4 


srsLTE 配 置 文件 


SIB Type 1 


SIB scheduling information 


SIB Type 4 
Cell re-selection information 
intra-frequency neighbor 
information 


SIB Type 7 


Cell re-selection information 
for GERAN 


SIB Type 2 
Common and shared channel 
information 


SIB Type 5 
Cell re-selection information 
Intra-frequency neighbor 
information 


SIB Type 8 


Cell-re-selection information 
for CDMA2000 


PWS Message's Carrier—System Information Block 


SIB Type 3 


Cell re-selection information 


SIB Type 6 


Cell re-selection information 
for UTRA 


SIB Type 9 


Home eNB identifier 


伪造 ETWS 警 报 消 息 


警报 消息 的 四 个 主要 部 分 


° SIB 10 :第 一 级 警报 信息 (直接 携带 警报 消息 ) 
° SIB 11 :第 二 级 警报 信息 (直接 携带 警报 消息 ) 
° Paging :向 用 户 手机 提示 有 警报 消息 需要 接收 
° SIB 1: SIB 1 负责 对 S1B10 以 及 SI1B11 的 调度 


ETWS 第 一 级 党 报信 息 


` ETWS 第 一 级 警报 信息 中 不 能 包含 某 些 特定 的 消息 内 容 


SystemInformationBlockType10 information element 


-- ASN1START 
SystemInformationBlockTypel0 ::= SEQUENCE { 
messageIdentifier BIT STRING (SIZE (16)), 
serialNumber BIT STRING (SIZE (16)), 
warningType OCTET STRING (SIZE (2)), 
dummy OCTET STRING (SIZE (50)) OPTIONAL, -- Need ОР 
Baar 
lateNonCriticalExtension OCTET STRING OPTIONAL 
} 
-- А5М15ТОР 


发 送 ETWS 第 一 级 警报 信息 的 主要 源 代码 
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ETWS 第 二 级 警报 信息 


。 目 定 义 内 容 
。 ETWS 第 二 级 警报 信息 支持 消息 细 分 


。 它 支 持 GSM-7 和 UCS-2 字 符 编码 标准 


ETWS 第 二 级 警报 信息 


SystemInformationBlockType11 information element 


-- ASN1START 
SystemInformationBlockTypell ::- SEQUENCE ( 
messageldentifier BIT STRING (SIZE (16)), 
serialNumber BIT STRING (SIZE (16)), 
warningMessageSegmentType ENUMERATED (notLastSegment, lastSegment), 
warningMessageSegmentNumber INTEGER (0..63), 
warningMessageSegment OCTET STRING, 
dataCodingScheme OCTET STRING (SIZE (1)) OPTIONAL, -- Cond Segmentl 
er 
lateNonCriticalExtension OCTET STRING OPTIONAL 
} 
-- А5М15ТОР 


发 送 ETWS 第 二 级 警报 信息 的 源 代 码 


*sib11_ptr = 
ptr-»sib type = LIBLTE RRC SYS INFO BLOCK TYPE 11; 
sib11; 


(sizeof(LIBLTE RRC SYS INFO BLOCK TYPE STRUCT)); 


1.теѕѕаре identifier = 0x1102; 
serial number - 0x3000 4 ( () * 11); 
l.segment size - 84; 


1.data coding scheme - 0x48; 


1.warning message segment type - IS LAST SEGMENT; 


l.warning message segment number = 0; 


nt[84] = (1,0x00,0x68,0x00,0x74,0x00,0x74,0x00, 0x70, 0x00, 0x73, 0x00, 0x3A, 0x00 , OX2F , OX00 , OX2F , 0x00, Ox62 , Ox0O , 0x61 , 0x00 , 0x69 , 0x00, 0x64, 


IBLTE RRC SYS INFO BLOCK TYPE UNION)); 
( LIBLTE RRC SYS INFO BLOCK TYPE STRUCT 


。 将 消息 标识 符 设置 为 0x1104 而 不 是 0x1102 

° 没有 啊 腕 的 警报 声 ， 只 是 温和 的 铃声 

. 警告 邮件 可 伪 产 成 垃圾 邮件 ， 其 中 可 能 包含 广告 ， 网 上 诱骗 网 
站 或 欺诈 邮件 


1102 ETWS CBS Message Identifier for earthquake and tsunami 
combined warning message. 

1104 ETWS CBS Message Identifier for messages related to other 
emergency types. 


Google Pixel SEI, А 


(a) 英 文 地 震 警 告 信息 
(c) 包 含 钓鱼 网 站 链接 的 垃圾 邮件 


Earthquake and 
! tsunami warning Earthquake and 
tsunami warning 


Magnitude /.2 earthquake 

Affected cities: Beijing, Tianjin, : 

and Qinhuangdao 798 艺 术 区 。 R 东经 E116.48 
1 mile from 798 Art Zone, pa 1 


纬度 : 北纬 N39.98， 发 震 时 刻 : 


Beng «NOVS: Sl PN 2018-11-07，21:49:39 


OK 


(b) 中 文 地 震 警 告 信息 


(d) 包 含 诈骗 电话 的 垃圾 邮件 


Emergency warning 


你 的 手机 号 涉嫌 违法 已 
被 公安 局 控制 ， 请 打开 
http://t.cn/EwQOJNk 链 接 接 申 
АА. 
Your mobile phone number is 
suspected of being illegal and 
has been blocked by the Public 
Security Bureau. Please open 
the http://t.cn/EWQOJNk link to 
apply for unblocking 


OK 


Emergency warning 


9 手机 号 涉嫌 违法 已 被 公安 局 
控制 ， 请 拨打 8575110 电 话 按 ; 
程 申 请 解 封 . 

Your mobile phone number 

is suspected of being illegal 
and has been blocked by the 
Public Security Bureau. Please 
cal 8575110 tdlapply for 
unblocking according to the 
process 
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个 EMERGENCY ALERTS 


a e 由 于 PWS 不 是 所 有 国家 的 强制 性 规范 ， 不 同型 
| 号 的 手机 可 能 会 有 不 同 的 反应 


e 我 们 测试 的 iPhone 不 响应 主 ETWS 和 警告 消 息 ， 但 
它 可 以 响应 辅助 ETWS 警 告 消息 . 


e 国 行 版 的 苹果 手机 也 仅 在 MCC 为 001, MNC 为 01 的 
测试 网 络 中 对 警报 信息 作出 响应 


iPhone's Response 


风险 & 缓 解 
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中 后 将 发 生 10 级 地 震 
事件 


AH 


y 


EEES 


k 
= 


7. 


В ЕЖЕ 


"b I 
AUN 


造成 巨大 的 


这 会 


uz 


减轻 危害 


”验证 虚假 基站 的 真实 性 


1. 防止 手机 接 入 伪 基 站 ， 在 满足 了 小 区 重 选 准则 后 ， 
手机 还 要 通过 判断 广播 消息 的 中 的 数 子 釜 名 。 数 字 俭 
是 由 网 络 侧 的 私 钥 进行 计算 并 且 添 加 到 广播 消息 中 


2. 仅仅 在 接收 到 pws 消 息 的 时 候 进 行 验证 ， 同 样 时 候 
使 用 非 对 称 加 密 的 方式 。 


减轻 危害 


Network signs the PWS messages 


System Info K-SIG Time Counter 
Security Algorithm 
Y 
LSBs of Time Digital 
Count System Info Signature 


Protected System Info 


Q/A 
Thank You 


